1676175096,

1.1.24  ipsec profile tunnel interface view)

【命令】

ipsec profile profile-name

undo ipsec profile

【视图】

Tunnel接口视图

【缺省级别】

2：系统级

【参数】

profile-name：安全框架名称，为1～15个字符的字符串，不区分大小写。

【描述】

ipsec profile命令用于在IPsec虚拟隧道接口上应用安全框架。undo ipsec profile命令用于取消在IPsec虚拟隧道接口上应用安全框架。

缺省情况下， IPsec虚拟隧道接口上没有引用任何安全框架，即不对隧道进行保护。

需要注意的是：

·     一个隧道接口上只能应用一个安全框架。

·     如果隧道接口上需要应用新的安全框架，则需要先取消当前应用的安全框架。

相关配置可参考命令ipsec profile （System view）和“VPN命令参考/隧道”中命令的interface tunnel。

【举例】

# 在IPsec虚拟隧道接口上应用保护IPsec隧道的安全框架vtiprofile。

<Sysname> system-view

[Sysname] interface tunnel

[Sysname-Tunnel

[Sysname-Tunnel

关于安全框架的具体配置如上所示，我想问下在ospf over gre over ipsec时，ipsec采用分支到分支的配置，也就是两边都配置了兴趣流，这个时候gre肯定是会被加密的，gre的source 和destination地址就是ipsec的兴趣流源目地址，那么假如采用分支到总部的配置，总部这边没有配置具体感兴趣的兴趣流，那么是不是这个时候配置安全框架就是为了进行隧道加密的操作的？请知道的告诉下，如果不是的话，请问隧道加密这个安全框架应用的具体场景是什么，谢谢了

2

IPsec安全框架定义了对数据流进行IPsec保护所使用的IPsec安全提议，以及用于自动协商SA所需要的IKE协商参数。在IPsec虚拟隧道接口下应用IPsec安全框架后只会生成一条IPsec隧道，并对所有路由到该隧道接口的数据流进行IPsec保护。  IPsec安全框架只能应用于DVPN虚拟隧道接口和IPsec虚拟隧道接口下，根据IPsec安全框架协商出的SA将会对所有路由到隧道接口下的IP流量进行IPsec保护。配置ipsec安全框架时，不需要配置感兴趣流。

  

2

谢谢你的回答，我想问下配置安全框架和配置点到点的ipsec有什么不同？如果都是实现相同的效果的话为什么不能用点到点vpn那样配置

Crystal 发表时间：2

,关于ipsec安全框架的问题